[sergleo]

А версия какая? 1.0 итд. Ставил себе... все ловило... даже если ты из внутренней сети будешь сканить внешний свой ип в зависимости от настройки вплодь до блокирования... самого себя полезно от очумелых юзеров.
А так это не полный конфиг. нет необходимых параметров. Поищи статью о настройке на опеннете(ибо я настраивал по ней и все работало).

[Red-Hat]

Версия 1.1

На счет неполного конфига:
всё что откоментировано - всё предоставлено в предыдущем посте за исключением вот этой строчки:

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

всё остальное закоментено...

на счет отлавливания:
внутри то оно как раз и отслеживает сканирование портов и блокирует эти попытки...
но это происходит потому что изнутри не закрыто файрволом... попытки сканировать из локальной подсети реальный айпишник тоже отслеживается и блочится...

А вот при сканировании реального айпишника снаружи ничего не отслеживается потому что правилами файрвола политика по умолчанию стоит - дропить всё что не открыто...
А файрволом открыты порты - 80 на котором веб-сервер висит, 25 - почтовик и 21 с фтп-сервером. При попыткакх сканировать реальник ничего не отслеживается и не блокируется.

Как я предполагаю - то что блочится файрволом до портсентри не доходит... Как я понял принцип работы - то портсентри открывает сокеты по всем перечисленным в конфиге портам и отслеживает обращение к этим портам... А так как эти порты закрыты извне файрволом то портсентри и не видит обращения к ним...

Если портсентрю заставить в конфиге слушать 80, 25 и 21 порты - то он говорит что немогу занять эти порты так как они уже заняты....

Если в файрволе проставить политики по умолчанию - разрешать всё - тогда при сканировании внешнего айпишника извне он отслеживает и блокирует...
Так вот я и пытаюсь выяснит - правда то что для правильной работы портсентри надо держать открытым файрвол? Это ж лишняя дырка... Может я чего недопонимаю???

[sergleo]

Почитай... http://dh.opennet.ru/portsentry.html правда там касательно 1.0 но главное принцип.. ибо далее я не стал вникать...

[Red-Hat]

Да читал я эту статейку......
Там по настройке только....
Я по ней и настраивал...
Нет нигде описания основного принципа работы и связки с настройками файрвола....
Связка есть только если кого заблочить надо....
А как файрвол должен быть настроен для правильной работы портсентри нигде не описано...

[sergleo]

Из статьи:

Цитата:

Желательно всегда оставлять порт 1 открытым, т.к. большинство сканировщиков портов начинают проверять с 1 и далее. Это способствует более быстрому обнаружению сканирования. TCP-порты, открытые другими программами (25 при загруженном sendmail, 80 при загруженном httpd и т.д.) в этот список включатся не должны.

Ну по поводу 1-го порта это не актуально для nmap или другого интеллектуального сканера

Цитата:

ADVANCED_EXCLUDE_TCP TCP-порты, которые исключаются из промежутка 1..ADVANCED_PORTS_TCP, т.е. из списка портов, предназначенных для проверки. Здесь обязательно нужно перечислить TCP-порты, открытые работающими программами.

по поводу уже открытых портов
И еще по режимам запуска можно комбинировать

Цитата:

Portsentry можно запускать в трех режимах для каждого протокола. Режимы работу задаются в командной строке при вызове Portsentry. Одновременно можно задать только один режим работы для одного протокола. Classic При работе в этом режиме Portsentry открывает порты, указанные в TCP_PORTS или UDP_PORTS и ждет соединениния. При попытке подключится к такому порту происходит блокировка удаленного хоста. В данном режиме работы Portsentry не реагирует на Stealth-сканирование. Данный режим работы задается опциями командной строки: -tcp - для TCP-портов и -udp - для UDP-портов. Enhanced Stealth Scan Detection Этот режим используется для проверки перечисленных в TCP_PORTS или UDP_PORTS портов на предмет подключения или сканирования. Удобен тем, что выявляет практически все виды Stealth-сканирования, а не только сканирование подключением. Порты, в отличие от режима Classic не держит открытыми, поэтому сканировщик получает достоверную информацию об открытых портах. Задается опциями командной строки: -stcp - для TCP-портов и -sudp - для UDP-портов. Advanced Stealth Scan Detection Этот режим используется для проверки всех портов в промежутке от 1 до ADVANCED_PORT_TCP (для TCP) или ADVANCED_PORT_UDP (для UDP). Порты, открытые другими программами и перечисленные в ADVANCED_EXLUDE_TCP(для TCP) или ADVANCED_EXCLUDE_UDP(для UDP) исключаются из проверки. Любой хост, попытавшийся подключится к порту в этом промежутке, тут же блокируется. Самый удобный для использования метод, т.к. реакция на сканирование или подключение у этого метода самая быстрая, а также Portsentry в этом режиме использует меньше процессорного времени, чем в других. Задается опциями командной строки: -atcp - для TCP-портов и -audp - для UDP-портов.

но в этой статье что то я не увидел как - но в аналогичной было сказано что нельзя комбинировать режим работы Classic и Enhanced Stealth Scan Detection , а вот про другие не слова... Хотя если смотреть первый абзац....

Цитата:

Одновременно можно задать только один режим работы для одного протокола.

но вроде в версии 1.1 это пофиксили.. ( или 2 не помню )
дерзайте...

[Red-Hat]

Да - это я читал...
Ну значит наверно я таки правильно понял как оно работает...

Получается что файрволом не надо блочить по умолчанию те порты, которые будет отслеживать портсентри...
ИМХО лучше закрыть все неюзаемые порты файрволом сразу всем, чем собирать целый список забаненых айпишников которые пытались тебя сканировать...
Или я не прав???

ну останется открытый 80 порт.... ну пусть сканячат... я думаю апач не обидится...

[sergleo]

Согласен:

Цитата:

Получается что файрволом не надо блочить по умолчанию те порты, которые будет отслеживать портсентри... ИМХО лучше закрыть все неюзаемые порты файрволом сразу всем, чем собирать целый список забаненых айпишников которые пытались тебя сканировать...

НО можно открыть порт - например 23ий, и на него вешать портсентери... тк в реализациях телнета есть дырки или rsh - тоже самое.... Как например технология ХонейПойнт(боченок меда... если вы понимаете о чем я...) ведь например - телнетом во вне уже тока простой юзер, а не нормальный админ, ходит... или по какой другой ситуации - например некоторые сетевые железяки его требуют... .
А так вы правы... лучше - все что не нужно закрыть и давать ему правило REJECT с ресетом TCP...(ну нет у вас этого сервиса.. )